Intro
Content Security Policy (CSP) is een beveiligingsconcept om cross-site scripting en andere aanvallen door het injecteren van gegevens in webpagina's te voorkomen.
Als u CSP op uw website gebruikt, moet u een van de volgende regels toevoegen om Userlike te kunnen gebruiken.
Regel met het laden van lettertypen
Gebruik deze CSP-regel als u van plan bent om aangepaste web-lettertypen te gebruiken in de Website Messenger.
javascriptchild-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; font-src data: userlike-cdn-umm.b-cdn.net fonts.gstatic.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Regel zonder het laden van lettertypen
Gebruik deze CSP-regel als u van plan bent systeemlettertypen te gebruiken in de website-messenger.
javascriptchild-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net blob:; connect-src wss://umd.userlike.com umd.userlike.com api.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com blob: userlike-cdn-umm.b-cdn.net userlike-cdn-widgets.s3-eu-west-1.amazonaws.com; frame-src 'self' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net www.youtube.com player.vimeo.com; img-src data: userlike-cdn-operators.userlike.com userlike-cdn-operators.s3-eu-west-1.amazonaws.com userlike-cdn-operators.userlike.com userlike-cdn-web.b-cdn.net www.userlike.com userlike-store-media-files.s3.amazonaws.com i.ytimg.com userlike-cdn-media-files.userlike.com; media-src userlike-cdn-umm.b-cdn.net userlike-store-media-files.s3.amazonaws.com www.userlike.com blob:; object-src 'none'; script-src 'self' 'unsafe-inline' 'wasm-unsafe-eval' api.userlike.com userlike-cdn-widgets.s3-eu-west-1.amazonaws.com userlike-cdn-widgets.userlike.com userlike-cdn-umm.b-cdn.net
Onze Widget gebruiken met een Strikt CSP-beleid
Onze widget is afhankelijk van dynamisch geïnjecteerde inline scripts en stijlen om correct te functioneren. Als u een strikt Content Security Policy (CSP) handhaaft, raden we het gebruik van een CSP nonce aan - een unieke, cryptografisch beveiligde token die wordt toegevoegd aan specifieke inline scripts en stijlen.
Een CSP nonce zorgt ervoor dat alleen scripts en stijlen met de overeenkomende token worden uitgevoerd, terwijl alle andere worden geblokkeerd.
👉 Lees meer over CSP nonces: https://content-security-policy.com/nonce/
Als uw site CSP nonces gebruikt, kunt u onze widget nog steeds integreren door gebruik te maken van de Messenger API.
📘 Voor installatie-instructies, raadpleeg onze documentatie:
Voorbeeld:
plain textapi.mount({ nonce: 'YOUR_NONCE' })
⚠️ Let op: Vanwege technische beperkingen zijn de spraakopname- en emoji-picker-functies niet beschikbaar bij gebruik van een CSP nonce.
Als u Userlike integreert via onze script-tag, kunt u eenvoudig uw nonce toevoegen met behulp van het
nonce attribuut:plain text<script async type="text/javascript" src="https://userlike-cdn-widgets...." nonce="YOUR_NONCE"></script>
read this article in English:
https://docs.userlike.com/setup/widget-integration/content-security-policy